安全威胁情报周报（1.2~1.8）

欧洲金融和保险业成为Raspberry Robin蠕虫的攻击目标

Tag：Raspberry Robin，传播

事件概述：

Raspberry Robin蠕虫也称为QNAP 蠕虫，正被多个威胁组织用作在目标网络中立足的手段。该框架通过感染USB驱动器和其他方式传播，最近已用于攻击电信和政府部门。微软正以DEV-0856的绰号追踪Raspberry Robin背后的操控组织。这些针对西班牙和葡萄牙组织的入侵，以收集到比以前所记录的更多的受害者机器数据而被熟知，恶意软件现在已展示出复杂的抵御分析技术。

技术手法：

受害者通过托管在已知的分发广告软件域上的欺诈广告下载了 ZIP 文件。存储在Dis-cord服务器中存档的文件包含编码的JavaScript 代码，在执行时，会抛出一个下载器，该下载器受到多层具有迷惑性和加密的保护，以逃避检测。shellcode下载器主要设计用于获取其他可执行文件，同时它也进行了重大升级，能够分析受害者以提供适当的有效负载，在某些情况下甚至通过提供虚假恶意软件来采取某种形式的欺骗。这涉及收集主机的通用唯一标识符（UUID）、处理器名称、连接的显示设备、自系统启动以来花费的时间，以及由旧版本的恶意软件收集的主机名和用户名信息。然后使用硬编码密钥对侦察数据进行加密，并将其传输到命令和控制（C2）服务器，该服务器使用最终在计算机上执行的Windows二进制文件进行响应。

参考链接：
https://thehackernews.com/2023/01/raspberry-robin-worm-evolves-to-attack.html

CNC组织“摆渡”木马瞄准军工行业展开攻击

Tag：APT，军工

事件概述：

近期， CNC组织使用的两个下载器，其中一个下载器具有摆渡攻击的能力，利用移动存储设备作为“渡船”，间接从隔离网中窃取攻击者感兴趣的文件；另一个下载器使用欺骗性的具有不可信数字证书的C2节点进行通信。CNC组织目前已知最早于2019年被发现，当时由于其使用的远控木马的PDB路径信息中包含了cnc_client，因此该组织被命名为CNC。该组织主要针对军工和教育行业进行攻击。

技术手法：

近些年，APT组织向隔离网络攻击的意图越发明显，渗透隔离网络的攻击样本不断增多，以Darkhotel、幼象为典型代表的攻击组织均自研相关攻击武器并不断更新。此次攻击活动中的CNC组织样本同该组织以往的样本相比也进行了升级，在开发阶段同样集成了vcpkg开发环境，也存在从github存储库中获取内容的行为。在横向移动阶段，在判断是否有新存储设备接入的手法上，与此前通过GetDriveTypeA获取接入设备的类型的判断方法不同，本次攻击活动的样本通过不断获取驱动器列表的方法，一旦发现有新存储设备接入，则将文件复制到新接入的存储设备中，以便达成在隔离网中传播的目的。

参考链接：
https://mp.weixin.qq.com/s/uEjNpw-rtpjGGPacJS19WQ

加拿大矿业公司CMMC遭受勒索软件攻击，被迫关闭工厂

Tag：勒索，矿业

事件概述：

不列颠哥伦比亚的加拿大铜山矿业公司（CMMC）由三菱材料公司部分拥有，占地18，000英亩，平均每年生产1亿磅铜，估计矿产储量为32年。2022 年 12 月 27 日晚些时候其遭受勒索软件攻击，CMMC的工程师不得不关闭工厂，以确定控制系统的状态，其他流程则转向手动操作。

BleepingComputer 在网络情报公司 KELA 的帮助下发现的一个有趣细节：一名网络犯罪分子于 2022 年 12 月 13 日在黑客市场上提出出售属于 CMMC 员工的帐户凭据。鉴于出售凭据和勒索软件攻击披露之间日期的密切关联，黑客很可能使用受感染的帐户在公司网络上站稳脚跟。

参考链接：
https://www.bleepingcomputer.com/news/security/canadian-mining-firm-shuts-down-mill-after-ransomware-attack/?&web_view=true

Netgear 修复影响多个 WiFi 路由器型号的高危漏洞

Tag：路由器，高危漏洞

事件概述：

Netgear修复了影响多种WiFi路由器型号的高严重性漏洞，并建议客户尽快将其设备更新到最新的可用固件。该漏洞会影响多个Wireless AC Nighthawk, Wireless AX Nighthawk (WiFi 6)等多种Wireless AC路由器型号。尽管Netgear没有透露有关受此错误影响的组件或其影响的任何信息，但它表示这的确是一个预身份验证缓冲区溢出漏洞。如果代码执行是在攻击期间实现的，则成功利用缓冲区溢出漏洞的影响范围从拒绝服务崩溃到任意代码执行。攻击者可以在低复杂度攻击中利用此漏洞，而无需权限或用户交互。

在周三发布的安全公告中，Netgear强烈建议用户尽快下载最新固件并警告说若用户不遵循本通知的建议，将不会对产生的任何可避免后果负责。下表中可以找到易受攻击的路由器列表和修补的固件版本：

易受攻击的网齿轮路由器	修补的固件版本
RAX40	固件版本 1.0.2.60
RAX35	固件版本 1.0.2.60
R6400v2	固件版本 1.0.4.122
R6700v3	固件版本 1.0.4.122
R6900P	固件版本 1.3.3.152
R7000P	固件版本 1.3.3.152
R7000P	固件版本 1.0.11.136
R7960P	固件版本 1.4.4.94
R8000P	固件版本 1.4.4.94

参考链接：
https://www.bleepingcomputer.com/news/security/netgear-warns-users-to-patch-recently-fixed-wifi-router-bug/

Linux 后门恶意软件感染基于 WordPress 的网站

Tag：Linux，木马

事件概述：

Doctor Web发现了一个恶意Linux程序，该程序基于WordPress CMS入侵网站。它利用了该平台的许多插件和主题中的 30 个漏洞。如果网站使用此类附加组件的过时版本，缺乏关键修复，目标网页将会被注入恶意 JavaScript。因此，当用户单击受攻击页面的任意区域，他们会被重新定向到其他站点。多年来，网络犯罪分子一直在攻击WordPress驱动的网站。信息安全专家记录了利用WordPress平台的各种漏洞入侵的网站并向其注入恶意脚本的情况。由Doctor Webs的专家对发现的木马应用程序进行分析显示，它可能是网络犯罪分子三年多来一直使用的恶意工具，用于进行此类攻击并通过转售流量或套利获利。

技术手法：

该木马的主要功能是基于WordPress CMS（内容管理系统）入侵网站，并将恶意脚本注入网页。为此，它使用了WordPress插件和网站主题中的已知漏洞。在攻击之前，该木马会连接C&C服务器并接收要感染的站点地址。如果成功利用一个或多个漏洞，则会向目标页面注入从远程服务器下载的恶意 JavaScript。这样注入后，在加载受感染的页面时，无论页面的原始内容如何，都将首先启动此 JavaScript。此时，每当用户单击受感染页面上的任意位置时，他们都会被转移到攻击者需要用户访问的网站。下面的屏幕截图显示了其中一个受感染页面的示例：

特洛伊木马在运行时会收集有关的统计信息。它跟踪被攻击的网站总数，成功地利用漏洞的每个案例，以及WordPress Ultimate FAQ插件和Zotabox的Face-book Messenger的次数。此外，它还会通知远程服务器所有已经检测到但尚未修补的漏洞。

已发现这两种木马变体都包含未实现的功能，可通过暴力攻击（通过使用特殊词汇表应用已知的登录名和密码）来入侵目标网站的管理员帐户。此功能可能存在于早期的修改中，反之，攻击者也可能计划将其用于此恶意软件的未来版本。如果他们选择后者，那网络犯罪分子甚至能够成功攻击一些使用具有修补漏洞的当前插件版本的网站。

参考链接：
https://news.drweb.com/show/?i=14646&lng=en&c=23

上千台Citrix服务器受到多个严重安全缺陷的影响

Tag：Citrix，漏洞

事件概述：

数以千计的 Citrix ADC 和网关部署仍然容易受到供应商最近几个月修复的两个严重性安全问题的影响。第一个漏洞是 CVE-2022-27510，已于 11 月 8 日修复，其影响两个 Citrix 产品的身份验证绕过。攻击者可利用此漏洞获取对设备的未授权访问、执行远程桌面接管或暴力破解绕过登录保护。第二个漏洞 CVE-2022-27518，于 12 月 13 日披露和修补，它允许未经身份验证的攻击者在易受攻击的设备上执行远程命令并控制它们。

为了确定有多少服务器容易受到这两个漏洞的影响，研究人员将其与网关产品版本进行了匹配，研究表明截至2022年12月28日，大多数使用的是13.0-88.14版本，不受这两个安全问题的影响。第二个较普遍的版本是12.1-65.21，如果满足某些条件，则容易受到CVE-2022-27518的攻击，在3,500个端点上运行。这些计算机可被利用的要求使用SAMLSP或IdP配置，这意味着并非所有3,500个系统都容易受到CVE-2022-27518的攻击。然后有超过1,000台服务器容易受到CVE-2022-27510的攻击，大约3,000个端点可能容易受到这两种严重错误的攻击。返回具有未知Citrix版本号的哈希的检测排在第三位，计算超过3,500台服务器，这些服务器可能易受任一缺陷的影响，也可能不容易受到任何缺陷的影响。

参考链接：
https://www.bleepingcomputer.com/news/security/thousands-of-citrix-servers-vulnerable-to-patched-critical-flaws/?&web_view=true

超过2亿Deezer用户的数据被盗，在黑客论坛上泄露

Tag：Deezer，数据泄露

事件概述：

音乐流媒体服务Deezer遭受黑客窃取超过2亿用户的数据，这些数据似乎是在2019年从Deezer的第三方服务提供商之一窃取的，其中包括：

名字和姓氏
出生日期
电子邮件地址
IP地址
性别
位置数据（城市和国家/地区）
注册日期
用户标识

根据首次报告该漏洞的RestorePrivacy，黑客在一个著名的黑客论坛上发布了500万条被盗记录样本，声称拥有60GB的被盗数据，其中包括2.28亿个电子邮件地址。

参考链接：

https://grahamcluley.com/data-of-over-200-million-deezer-users-stolen-leaks-on-hacking-forum/

2022年12月29日

LockBit勒索软件针对葡萄牙里斯本港进行网络攻击
里斯本港在圣诞节遭受了网络攻击，引发了人们对机密信息可能泄露的担忧。声称发起攻击的LockBit表示，其勒索软件已经关闭了该港口的网站和内部计算机系统。与此同时，据报道，他们窃取了财务报告、审计、预算、合同、货物信息、船舶日志、港口文件以及其他重要的港口相关信息，同时已经公布了被盗数据的样本。如果他们在1月18日之前未满足150万美元的赎金要求，LockBit威胁要公布他们在计算机攻击期间查获的所有文件。尽管存在这些威胁，葡萄牙报纸Publico表示，里斯本港没有任何运营活动受到影响，该港每年有超过3,500艘船只停靠，处理超过1,340万吨货物。该港口的官方网站portodelisboa.pt已被关闭，此后一直无法运行。
安全分析师报告称，LockBit是2022年最多产、分布最广的勒索软件团伙之一。据估计，全球有超过1200家组织受到LockBit的攻击，占2022年所有网络攻击索赔的三分之一。从2022年的欧洲石油码头到上个月加州财政部发现的漏洞，它们都与各种攻击有关。
参考链接：
https://therecord.media/port-of-lisbon-website-still-down-as-lockbit-gang-claims-cyberattack/?web_view=true

2023年1月3日

BitRAT恶意软件活动使用窃取的银行数据进行网络钓鱼
据云安全公司Qualys称，最近恶意软件活动背后的攻击者一直在使用哥伦比亚银行客户的被盗信息作为网络钓鱼电子邮件的诱饵，这些电子邮件旨在用BitRAT远程访问木马感染的目标。共有 418，777 条包含敏感客户数据的记录从被破坏的服务器中被盗，包括姓名、电话号码、电子邮件地址、地址、哥伦比亚国民身份证、付款记录和工资信息。该恶意软件通过恶意 Excel 文件传播到受害者的计算机，该文件丢弃并执行在与附件捆绑的高度混淆的宏中编码的INF文件。然后，使用受感染设备上的WinHTTP库从GitHub存储库下载最终BitRAT有效负载，并在WinExec函数的帮助下执行。在攻击的最后阶段，RAT 恶意软件将其加载程序移动到 Windows 启动文件夹以获得持久性并在系统重新启动后自动重新启动。
至少自2020年8月以来，BitRAT 在暗网市场和网络犯罪论坛上作为现成的恶意软件出售，终身访问只需20美元。支付许可证费用后，每个“客户”都能使用自己的方法来攻击受害者，例如网络钓鱼、水坑和特洛伊木马软件。高度通用的BitRAT可用于各种恶意目的，包括录制视频和音频，数据盗窃，DDoS攻击，加密货币挖掘以及提供额外的有效载荷。
参考链接：
https://www.bleepingcomputer.com/news/security/bitrat-malware-campaign-uses-stolen-bank-data-for-phishing/